云威胁搜寻
简化对配置、态势、网络流量和身份活动的事件分析。 Check Point 统一方法的组成包括提供自动化的持续入侵检测、监控和威胁情报。
2023 年网络安全报告: 主要网络安全趋势 立即下载
攻击和调查系列 观看视频
云威胁搜寻的独特挑战
收集和分析大量数据需要极其仔细,而且很耗时,这一过程可能会妨碍云威胁搜寻的有效性。 目前,组织平均需要 280 天*才能意识到自己已遭到渗透,并开始遏制网络入侵。这并不奇怪,Mitre Att@ck 框架发现了近 200 种独特的策略、技术和程序,而组织为了识别威胁和评估风险水平,需要将这些因素全部考虑在内。 威胁搜寻是一个“永无止境的过程”;我们发现威胁并加以修复,于是攻击者改变攻击方向,这一过程循环往复。 不幸的是,这些循环的数量和速度在云端呈指数级增长,如今,网络安全专业人员必须跟踪多个云供应商和多项资产,而其中许多是短期的。 通常情况下,组织并不知道网络上有异常发生,直到他们收到警报表明正在遭到攻击。 然而为时已晚。 成功的关键在于能够迅速检测威胁(在某些情况下甚至是预防威胁),以减少威胁在您的环境中停留并造成损害的时间。
识别: 云威胁搜寻的第一步
通过采取积极而系统的安全方法,您可以迅速识别并修复这些攻击。 要做到这一点,您必须开始观察、收集信息、提出假设、分析数据并进行调查,以证实或否定这些假设。 必须使用合适的工具和流程来收集数据、展开分析并做出适当的响应。
收集数据
没有适当的数据就无法进行搜寻。 威胁搜寻首先需要从各种来源收集高质量的数据,如日志、服务器、网络设备、防火墙、数据库和终端。 然而许多组织对其云应用程序中的数据缺乏可见性。 客户需要了解他们的虚拟机 (VM)、容器和无服务器架构,以及所有服务的用户活动和网络流量。 要达到这种洞察级别并确保高质量的数据,组织必须从狭隘的云供应商视角转向多云视角。
调查与分析
只有可见性还不足以实现有效的威胁搜寻。 在调查过程中,威胁搜寻者需要利用合适的工具来建立基线并主动调查异常情况。 任何与正常网络行为不符的恶意活动都会成为威胁指标 (IoC)。 强 IoC 包括网络上发出的恶意软件签名警报以及入侵检测系统 (IDS) 或防病毒软件在您的文件系统上发现的勒索软件可执行文件。 而弱 IoC 包括反复失败的用户登录尝试以及与典型使用情况一致的登录时间。 您可以通过从威胁情报源获取已知的 IoC 来监控网络上的这些迹象。
只对强 IoC 设置 IDS 警报,以防警报疲劳。 但弱指标并非毫无价值。 当弱 IoC 串联在一起时,可以构成强威胁指标。
要抓住犯罪分子,您需要模拟犯罪分子的思考方式。 您必须假设会发生入侵,并从攻击者的角度来看待问题。 威胁建模包括识别潜在威胁和模拟攻击路径。 威胁建模使您能够对风险进行优先级排序并采取措施缓解风险。 思考以下问题,比如您想要保护什么,如果失败会有什么后果,以及为了避免这些后果您愿意付出多少努力?
最后,请确保通过模拟云端中的各种威胁来进行测试,比如模仿跨租户攻击。生成攻击模式和“误用案例”,并绘制攻击和防御流程或确定应对措施的顺序。
Solution Brief: CloudGuard Threat Intelligence 立即下载
CloudGuard Intelligence
Check Point CloudGuard Intelligence 通过可视化展示跨配置、态势、网络流量和身份活动的信息,简化事件分析。 这些丰富的信息可帮助您了解各种服务完成了哪种类型的活动。
其核心是我们的全球 ThreatCloud AI 情报数据库,该数据库每天扫描数百万个 URL 和文件。 我们还利用地理数据库来收集位置相关信息,并根据第三方情报服务来处理这些事件。 威胁分析和关联利用几种机器学习功能产生了有意义的数据和警报,可以触发调查流程或后续活动。
预构建的报告让您可以深入了解特定类型的活动(执行常规任务,如帐户发现),同时,自动修复让您可以自定义对任何类型的网络警报、审计跟踪或安全事件的响应。 这大大缩短了从警报到解决的时间。
最重要的是, 与 CloudGuard 平台下的其他产品完美配合,其中包括态势管理、应用和工作负载保护以及网络安全。今天就参与免费试用吧!
威胁和调查系列
通过 Lambda 进行权限升级
隐蔽的横向移动
通过 EC2 进行权限升级
入侵一家大型金融机构
Feedback